SITES WORDPRESS SÃO VÍTIMAS DE ATAQUES CIBERNÉTICOS

Por Marcos Augusto Romano e Rafael Reis, advogados da Área de Tecnologia e

Inovação Digital do escritório Becker

A plataforma wordpress é o meio mais popular para desenvolvimento de websites, o que a torna um alvo bastante comum de ataques cibernéticos. Apenas no dia 03 de maio de 2020, um mesmo cracker direcionou mais de 20 milhões de ataques a 500 mil sites hospedados pela plataforma, segundo dados obtidos da consultoria Defiant, uma das principais companhias de segurança para sites em wordpress.

O ataque massivo não decorre necessariamente de uma falha na plataforma – inclusive a empresa tem investido fortemente em segurança, com atualizações constantes e desabilitação de plug-ins (extensões colocadas nos sites hospedados na wordpress) vulneráveis. O ataque de maio, por exemplo, foi feito em plug-ins desatualizados, que pararam de ser fornecidos na plataforma, mas que ainda estavam presentes em mais de 3 mil sites desatualizados.

Os ataques remetem a duas temáticas recorrentes na área de Tecnologia: atualizações para manutenção de segurança e a importância de possuir um plano de resposta à incidentes para evitar que os ataques ou vazamentos gerem danos maiores aos Titulares de Dados, especialmente com a iminência de entrada em vigor da Lei Geral de Proteção de Dados no Brasil.

A atualização constante de softwares traz todas as novas camadas de segurança desenvolvidas e implementadas pelos desenvolvedores conforme novas ameaças são identificadas. À medida em que elas surgem no mercado, os aplicativos, softwares e sistemas operacionais desenvolvem respostas para mitigar o impacto dos ataques dessas novas ameaças.

As novas soluções desenvolvidas não eliminam 100% do risco de novos ataques e de invasões. A partir de janeiro de 2021* a Lei Geral de Proteção de Dados (LGPD) regulará o tratamento de dados pessoais por parte das empresas e da própria Administração Pública. Um ataque bem-sucedido que exponha dados de visitantes do site (no caso do wordpress) ou dados tratados por uma empresa configurará violação à legislação e possíveis punições.

Dentre uma série de medidas de boas práticas e Governança de Dados, a LGPD traz como “remédio” a elaboração de um Plano de Resposta à Incidentes (PRI), que faz parte de um Programa de Governança em Privacidade necessário para garantia de respeito aos princípios de transparência, finalidade e segurança.

O PRI deverá conter passos básicos de identificação da ameaça/violação, passo-a-passo de comunicação do incidente ao Titular afetado e à Autoridade, caso necessário, e as medidas tomadas para mitigar os efeitos da violação e para evitar a ocorrência de novas violações.

O mundo virtual também exige cuidados e precauções para manter a segurança das informações e a proteção dos dados pessoais. Com a transformação digital acelerada no último trimestre em razão da pandemia do coronavírus, “digitalizando” diversas empresas e estabelecimentos que nem sempre seguiram à risca os procedimentos adequados em termos de segurança da informação, a atualização de softwares/aplicativos e a  criação de procedimentos de resposta à incidentes serve como diretiva de conformidade e atesta o compromisso da empresa com a boa governança de privacidade e proteção de dados.

* Atualmente a Lei Geral de Proteção de Dados entrará em vigor em maio de 2021, com suas penalidades aplicáveis a partir de agosto de 2021. Contudo, a votação da MP 959/2020 pode alterar esse cenário: se aprovada a MP, a LGPD entra em vigor em sua totalidade em maio de 2021. Se a MP não for votada, a LGPD entra em vigor em agosto de 2020 com penalidades aplicáveis a partir de agosto de 2021.